지원콘솔개발자평가판 시작연락처

4.12. IdM (Identity Management)

홈 디렉터리를 소문자로 변환하는 SSSD 지원

이번 개선된 기능을 통해 사용자 홈 디렉터리를 소문자로 변환하도록 SSSD를 구성할 수 있습니다. 이렇게 하면 RHEL 환경의 대/소문자를 구분하지 않는 특성과 보다 효과적으로 통합할 수 있습니다. /etc/sssd/sssd.conf 파일의 [nss] 섹션에 있는 override_homedir 옵션이 %h 템플릿 값을 인식합니다. override_homedir 정의의 일부로 %h 를 사용하는 경우 SSSD는 %h 를 소문자로 사용자의 홈 디렉터리로 대체합니다.

Jira:RHELPLAN-139430

ipapwpolicy ansible-freeipa 모듈에서 새로운 암호 정책 옵션 지원

이번 업데이트를 통해 ansible-freeipa 패키지에 포함된 ipapwpolicy 모듈은 추가 libpwquality 라이브러리 옵션을 지원합니다.

maxrepkind
동일한 문자의 최대 문자 수를 순서대로 지정합니다.
maxsequence
최대 단조 문자 시퀀스(abcd)의 최대 길이를 지정합니다.
dictcheck
암호가 사전 단어인지 확인합니다.
usercheck
암호에 사용자 이름이 포함되어 있는지 확인합니다.

새 암호 정책 옵션이 설정되어 있는 경우 최소 암호 길이는 6자입니다. 새 암호 정책 설정은 새 암호에만 적용됩니다.

RHEL 7 및 RHEL 8 서버와 혼합된 환경에서 새 암호 정책 설정은 RHEL 8.4 이상에서 실행되는 서버에만 적용됩니다. 사용자가 IdM 클라이언트에 로그인하고 IdM 클라이언트가 RHEL 8.3 이하에서 실행되는 IdM 서버와 통신하는 경우, 시스템 관리자가 설정한 새 암호 정책 요구 사항은 적용되지 않습니다. 일관된 동작을 보장하기 위해 모든 서버를 RHEL 8.4 이상으로 업그레이드하십시오.

Jira:RHELPLAN-137416

IdM에서 ipanetgroup Ansible 관리 모듈 지원

IdM(Identity Management) 시스템 관리자는 IdM을 NIS 도메인 및 넷그룹과 통합할 수 있습니다. ipanetgroup ansible-freeipa 모듈을 사용하면 다음을 수행할 수 있습니다.

  • 기존 IdM netgroup에 특정 IdM 사용자, 그룹, 호스트 및 호스트 그룹 및 중첩된 IdM netgroup이 포함되어 있는지 확인할 수 있습니다.
  • 특정 IdM 사용자, 그룹, 호스트 그룹 및 호스트 그룹 및 중첩된 IdM netgroup이 기존 IdM netgroup에 없는지 확인할 수 있습니다.
  • IdM에 특정 netgroup이 있거나 없는지 확인할 수 있습니다.

Jira:RHELPLAN-137411

새로운 ipaclient_configure_dns_resolveripaclient_dns_servers Ansible ipaclient 역할 변수를 사용하여 클라이언트의 DNS 확인자를 지정합니다.  

이전에는 ansible-freeipa ipaclient 역할을 사용하여 IdM(Identity Management) 클라이언트를 설치할 때 설치 프로세스 중에 DNS 확인자를 지정할 수 없었습니다. 설치하기 전에 DNS 확인 프로그램을 구성해야 했습니다.   

이번 개선된 기능을 통해 ipaclient 역할을 사용하여 ipaclient_configure_dns_resolveripaclient_dns_servers 변수가 있는 IdM 클라이언트를 설치할 때 DNS 확인자를 지정할 수 있습니다. 결과적으로 ipaclient 역할은 resolv.conf 파일과 NetworkManagersystemd 확인 유틸리티를 수정하여 ansible- freeipa ipaserver 역할이 IdM 서버에서 수행하는 것과 유사한 방식으로 클라이언트에 DNS 확인 프로그램을 구성합니다. 결과적으로 IdM 클라이언트를 설치하기 위해 ipaclient 역할을 사용할 때 DNS를 구성하는 것이 더 효율적입니다.

참고

ipa-client-install 명령줄 설치 프로그램을 사용하여 IdM 클라이언트를 설치하려면 먼저 DNS 확인 프로그램을 구성해야 합니다.

Jira:RHELPLAN-137406

ipaclient 역할을 사용하여 OTP로 IdM 클라이언트를 설치할 때 Ansible 컨트롤러를 사전 수정할 필요가 없습니다.

이전에는 Ansible 컨트롤러의 kinit 명령이 IdM(Identity Management) 클라이언트 배포를 위한 OTP(한시 암호)를 가져오기 위한 사전 요구 사항이었습니다. 컨트롤러의 OTP를 취득해야 할 필요성은 Red Hat AAP(Ansible Automation Platform)의 문제였습니다. 이 패키지는 기본적으로 설치되지 않았습니다.

이번 업데이트를 통해 이제 관리자의 TGT 요청이 처음 지정되거나 검색된 IdM 서버에 위임됩니다. 결과적으로 OTP를 사용하여 Ansible 컨트롤러를 추가로 수정하지 않고 IdM 클라이언트 설치를 인증할 수 있습니다. 이렇게 하면 AAP와 ipaclient 역할을 간단하게 사용할 수 있습니다.

Jira:RHELPLAN-137403

SSSD에서 섀도우 암호 정책을 사용하여 LDAP 사용자 암호 변경 지원

이번 개선된 기능을 통해 /etc/sssd/sssd.conf 파일에서 ldap_pwd_policyshadow 로 설정하면 LDAP 사용자가 LDAP에 저장된 암호를 변경할 수 있습니다. 이전 버전에서는 ldap_pwd_policy 해당 섀도우 LDAP 속성이 업데이트되었는지 명확하지 않기 때문에 암호 변경 사항이 거부되었습니다.

또한 LDAP 서버가 섀도우 속성을 자동으로 업데이트할 수 없는 경우, /etc/sssd/sssd.conf 파일에서 ldap_chpass_update_last_change 옵션을 True 로 설정하여 특성을 업데이트합니다.

Bugzilla:2144519

구성 파일을 사용하여 gRPC_pwhistory 구성

이번 업데이트를 통해 /etc/security/ pwhistory.conf 구성 파일에 CloudEvent_ pwhistory 모듈을 구성할 수 있습니다. gRPC _pwhistory 모듈은 암호 변경 기록을 관리하기 위해 각 사용자에 대한 마지막 암호를 저장합니다. CHAP _pwhistory 모듈을 PAM 스택에 추가할 수 있는 authselect 에도 지원이 추가되었습니다.

Bugzilla:2068461, Bugzilla:2063379

getcert add-scep-ca 에서 사용자 제공 SCEP CA 인증서가 유효한 PEM 형식인지 확인합니다.

getcert add-scep-ca 명령을 사용하여 certmonger 에 SCEP CA를 추가하려면 제공된 인증서는 유효한 PEM 형식이어야 합니다. 이전에는 명령에서 사용자 제공 인증서를 확인하지 않았으며 잘못된 형식의 경우 오류를 반환하지 않았습니다. 이번 업데이트를 통해 getcert add-scep-ca 는 이제 사용자 제공 인증서를 확인하고 인증서가 유효한 PEM 형식이 아닌 경우 오류를 반환합니다.

Bugzilla:2150025

IdM에서 새 Active Directory 인증서 매핑 템플릿 지원

AD(Active Directory) 도메인 관리자는 altSecurityIdentities 특성을 사용하여 AD의 사용자에게 인증서를 수동으로 매핑할 수 있습니다. 이 속성에 지원되는 6개의 값이 이제 3개의 매핑이 안전하지 않은 것으로 간주됩니다. 2022 보안 업데이트 5월 10 일의 일부로 이 업데이트가 도메인 컨트롤러에 설치되면 모든 장치가 호환성 모드가 됩니다. 인증서가 사용자에게 약한 경우 인증이 예상대로 수행되지만 전체 적용 모드와 호환되지 않는 인증서를 식별하는 경고 메시지가 기록됩니다. 2023년 11월 14일 이후부터 모든 장치가 완전히 적용 모드로 업데이트되고 인증서가 강력한 매핑 기준에 실패하면 인증이 거부됩니다.

IdM은 이제 새 매핑 템플릿을 지원하므로 AD 관리자가 새 규칙을 더 쉽게 사용할 수 있으며 둘 다 유지 관리하지 않습니다. IdM에서 다음과 같은 새 매핑 템플릿을 지원합니다.

  • 일련 번호: LDAPU1:(altSecurityIdentities=X509:<I>{issuer_dn!ad_x500}<SR>{serial_number!hex_ur})
  • 제목 키 ID: LDAPU1:(altSecurityIdentities=X509:<SKI>{subject_key_id!hex_u})
  • 사용자 SID: LDAPU1:(objectsid={sid})

새 SID 확장으로 인증서를 다시 게시하지 않으려면 AD의 사용자 altSecurityIdentities 속성에 적절한 매핑 문자열을 추가하여 수동 매핑을 만들 수 있습니다.

Bugzilla:2087247

Samba 버전 4.17.5로 업데이트

samba 패키지가 업스트림 버전 4.17.5로 업그레이드되어 이전 버전에 대한 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항:

  • 이전 릴리스의 보안을 개선하면 메타 데이터 워크로드가 많은 경우 SMB(Server Message Block) 서버의 성능에 영향을 미쳤습니다. 이번 업데이트에서는 이 시나리오에서 성능이 향상되었습니다.
  • JSON 옵션이 JSON 형식으로 세부 상태 정보를 표시하도록 CloudEventstatus 유틸리티에 추가되었습니다.
  • samba.ECDHE.confsamba.ECDHE3.conf 모듈이>-< conf Python API에 추가되었습니다. Python 프로그램에서 이를 사용하여 기본적으로 Samba 구성을 읽고 작성할 수 있습니다.

서버 메시지 블록 버전 1(SMB1)은 Samba 4.11 이후 더 이상 사용되지 않으며 향후 릴리스에서 제거됩니다.

Samba를 시작하기 전에 데이터베이스 파일을 백업하십시오. > - <d ,nmbd, winbind 서비스가 시작되면 Samba는 tdb 데이터베이스 파일을 자동으로 업데이트합니다. Red Hat은 downgrading tdb 데이터베이스 파일을 지원하지 않습니다.

Samba를 업데이트한 후 testparm 유틸리티를 사용하여 /etc/ECDHE/ECDHE.conf 파일을 확인합니다.

주요 변경 사항에 대한 자세한 내용은 업데이트하기 전에 업스트림 릴리스 노트를 참조하십시오.

Bugzilla:2132051

ipa-client-install 에서 PKINIT를 통한 인증 지원

이전에는 ipa-client-install 에서 암호 기반 인증만 지원했습니다. 이번 업데이트에서는 PKINIT에서의 인증을 위해 ipa-client-install 을 지원합니다.

예를 들면 다음과 같습니다. 

ipa-client-install --pkinit-identity=FILE:/path/to/cert.pem,/path/to/key.pem --pkinit-anchor=FILE:/path/to/cacerts.pem

PKINIT 인증을 사용하려면 IdM과 PKINIT 인증서의 CA 체인 사이에 신뢰를 설정해야 합니다. 자세한 내용은 ipa-cacert-manage(1) 매뉴얼 페이지를 참조하십시오. 또한 인증서 ID 매핑 규칙은 호스트의 PKINIT 인증서를 호스트 레코드를 추가 또는 수정할 수 있는 권한이 있는 보안 주체에 매핑해야 합니다. 자세한 내용은 ipa certmaprule-add man 페이지를 참조하십시오.

Bugzilla:2075452

디렉터리 서버는 TLS를 위한 ECDSA 개인 키 지원

이전에는 RSA보다 강력한 암호화 알고리즘을 사용하여 Directory Server 연결을 보호할 수 없었습니다. 이 향상된 기능을 통해 Directory Server는 이제 ECDSA 및 RSA 키를 모두 지원합니다.

Bugzilla:2096795

새로운 gRPC ModuleIsThread>-& lt; 구성 옵션을 사용할 수 있습니다.

PAM 모듈이 스레드로부터 안전한 경우, 새 CHAP ModuleIsThread >-< 구성 옵션을 yes 로 설정하여 특정 모듈의 PAM 인증 처리량 및 응답 시간을 개선할 수 있습니다. 

`pamModuleIsThreadSafe: yes`

이 구성은 PAM 모듈 구성 항목( Auth,cn=plugins,cn=config )에 따라 cn=PAM 패스 패스에 적용됩니다.

dse.ldif 구성 파일 또는 ldapmodify 명령에서 CloudEvent ModuleIsThread >-< 옵션을 사용합니다. ldapmodify 명령을 사용하려면 서버를 다시 시작해야 합니다.

Bugzilla:2142639

Directory Server 감사 로그의 새로운 nsslapd-auditlog-display-attrs 구성 매개변수

이전에는 고유 이름(DN)이 감사 로그 이벤트에서 대상 항목을 식별하는 유일한 방법이었습니다. 새로운 nsslapd-auditlog-display-attrs 매개변수를 사용하면 Directory Server를 구성하여 감사 로그에 추가 속성을 표시하여 수정된 항목에 대한 자세한 정보를 제공할 수 있습니다.

예를 들어 nsslapd-auditlog-display-attrs 매개변수를 cn 으로 설정하면 감사 로그에 출력에 cn 속성이 표시됩니다. 수정된 항목의 모든 속성을 포함하려면 별표(*)를 매개변수 값으로 사용합니다.

자세한 내용은 nsslapd-auditlog-display-attrs 를 참조하십시오.

Bugzilla:2136610

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.